Descripción
Se han encontrado múltiples vulnerabilidades serias en los productos de Microsoft Office. Los usuarios malintencionados pueden explotar estas vulnerabilidades para ejecutar código arbitrario, causar denegación de servicio, pérdida de integridad, omisión de seguridad, escalada de privilegios y obtener información confidencial.
A continuación hay una lista completa de vulnerabilidades
- Microsoft Office maneja incorrectamente objetos en la memoria al analizar archivos de Office diseñados que pueden conducir a la ejecución de código arbitrario en el contexto del usuario actual. Si el usuario actual tiene derechos administrativos de usuario, los usuarios malintencionados podrían tomar el control total del sistema. Los usuarios que tienen menos derechos de usuario podrían verse menos afectados.
- La vulnerabilidad en el componente Microsoft IME (japonés) puede llevar a obtener acceso al sistema afectado con derechos de usuario conectados. Si el usuario actual tiene derechos administrativos de usuario, los usuarios malintencionados podrían tomar el control total del sistema. Los usuarios que tienen menos derechos de usuario podrían verse menos afectados.
- La biblioteca de controles comunes de MSCOMCTL no implementa ASLR correctamente, lo que puede derivar en eludir la función de seguridad ASLR a través del sitio web creado. Esta vulnerabilidad también conocida como "vulnerabilidad MSCOMCTL ASLR".
- Microsoft Office no maneja adecuadamente una respuesta elaborada al abrir un documento de Office a través del sitio web, lo que puede conducir a la obtención de información token sensible. Esta información se puede utilizar para autenticar al usuario actual en un servicio en línea de Microsoft específico. Esta vulnerabilidad también conocida como "Vulnerabilidad de reutilización de testigos".
- Una vulnerabilidad en la biblioteca de Microsoft Publisher pubconv.dll puede llevar a la ejecución de código arbitrario como el usuario actual a través de archivos elaborados con la extensión '.pub'. Esta vulnerabilidad también conocida como "vulnerabilidad de desreferencia de puntero arbitrario".
- Microsoft Office ha asignado memoria incorrectamente al convertir archivos especialmente diseñados a un formato más nuevo que puede llevar a la ejecución de código arbitrario. Si el usuario actual tiene derechos administrativos de usuario, los usuarios malintencionados podrían tomar el control total del sistema. Los usuarios que tienen menos derechos de usuario podrían verse menos afectados.
- Microsoft Word tiene una vulnerabilidad de desbordamiento del buffer de pila al abrir documentos especialmente diseñados. Esta vulnerabilidad puede llevar a la ejecución de código arbitrario como el usuario actual. Si el usuario actual tiene derechos administrativos de usuario, los usuarios malintencionados podrían tomar el control total del sistema. Los usuarios que tienen menos derechos de usuario podrían verse menos afectados. Esta vulnerabilidad también conocida como "vulnerabilidad de desbordamiento de pila de Microsoft Word".
- Microsoft Word tiene vulnerabilidad de ejecución remota de código mientras analiza datos RTF especialmente diseñados. Esta vulnerabilidad puede llevar a la ejecución de código arbitrario como el usuario actual. Si el usuario actual tiene derechos administrativos de usuario, los usuarios malintencionados podrían tomar el control total del sistema.
- Microsoft Office tiene una vulnerabilidad de ejecución remota de código al abrir un documento de Office. Esta vulnerabilidad puede llevar a la ejecución de código arbitrario y a la denegación de servicio. Además, los usuarios malintencionados pueden obtener acceso al sistema afectado con derechos de usuario conectados. Si el usuario actual tiene derechos administrativos de usuario, los usuarios malintencionados podrían tomar el control total del sistema. Los usuarios que tienen menos derechos de usuario podrían verse menos afectados. Esta vulnerabilidad también conocida como "Vulnerabilidad de daños en la memoria de Word".
- Microsoft OneNote tiene vulnerabilidad de ejecución remota de código al abrir un archivo OneNote elaborado. Esta vulnerabilidad puede llevar a la ejecución de código arbitrario como el usuario actual. Si el usuario actual tiene derechos administrativos de usuario, los usuarios malintencionados podrían tomar el control total del sistema. Los usuarios que tienen menos derechos de usuario podrían verse menos afectados. Esta vulnerabilidad también conocida como "vulnerabilidad de ejecución remota de código de OneNote".
- Una vulnerabilidad en la biblioteca usp.dll del procesador de scripts Unicode puede llevar a la ejecución de código arbitrario o a la denegación de servicio. Además, los usuarios malintencionados pueden tomar el control total del sistema. Esta vulnerabilidad también conocida como "Vulnerabilidad del procesador de scripts Unicode".
- Vulnerabilidad en GDI + que puede llevar a la ejecución de código arbitrario a través de un archivo de imagen creado. Además, los usuarios malintencionados pueden tomar el control total del sistema. Esta vulnerabilidad también conocida como "vulnerabilidad de análisis de imágenes GDI +".
Notas informativas originales
- MS14-082
- MS14-083
- MS14-078
- MS14-069
- MS14-061
- MS14-048
- MS14-036
- MS14-034
- MS14-023
- MS14-024
- MS14-020
- MS14-017
- MS14-001
Lista CVE
Lista KB
Leer más
Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com
¿Has encontrado algún error en la descripción de esta vulnerabilidad? ¡Háznoslo saber!